無標(biāo)度電子郵件網(wǎng)絡(luò)模型下的電子郵件病毒傳播研究

摘 要： 電子郵件已經(jīng)躍升為計算機病毒的最主要傳播媒介，所以有必要對電子郵件病毒的傳播行為進行深入研究。首先介紹了復(fù)雜網(wǎng)絡(luò)的相關(guān)理論，特別闡述了其結(jié)構(gòu)特性，在無標(biāo)度網(wǎng)絡(luò)模型的基礎(chǔ)上仿真分析了電子郵件病毒的傳播特性，并根據(jù)其傳播特性揭示了電子郵件病毒預(yù)防和阻止的有效方式。

關(guān)鍵詞： 無標(biāo)度網(wǎng)絡(luò)； 電子郵件病毒； 傳播特性； 復(fù)雜網(wǎng)絡(luò)

中圖分類號： TN915.08?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2013）07?0097?04

0 引 言

電子郵件病毒并非一種新型病毒，只是在其傳播方式較為特別，它是通過用戶發(fā)送電子郵件的形式在網(wǎng)絡(luò)上進行傳播，一旦某個電子郵件用戶感染郵件病毒，用戶的地址列表（地址簿）中用戶就會可能被感染，尤其對于那些地址列表巨大的電子郵件用戶中毒，病毒將會以驚人的速度（以秒計算）在互聯(lián)網(wǎng)進行傳播，波及范圍更廣，破壞性更大。

1991年，Kephart和White最早提出計算機病毒生物流行病學(xué)的傳播模型。2003年，Zou，Towsley等人首次提出電子郵件病毒傳播理論。2004年，Jintao Xiong給出了附件傳輸鏈的構(gòu)造算法和電子郵件病毒檢測模型。2006年袁華、陳國青提出了一種擴展的SEIR模型。2007年王長廣、王方偉等人用無向圖描述電子郵件網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。2009年劉俊、鄧清華等人提出了一種新的傳播模型，并仿真了傳播率、恢復(fù)率及網(wǎng)絡(luò)的平均度對感染密度的影響[1]。

但是，以上研究存在的不足有以下幾點：在建立病毒模型時，考慮病毒傳播因素的影響較為狹窄；沒有考慮到的非均勻性網(wǎng)絡(luò)的病毒傳播模型；未體現(xiàn)反病毒技術(shù)的嚴(yán)重滯后性；沒有較好地考慮人的主觀行為對病毒傳播的影響。因此有必要分析模型的具體數(shù)學(xué)結(jié)果。

1 電子郵件網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)

可以將電子郵件用戶間的相互關(guān)系構(gòu)成的邏輯網(wǎng)絡(luò)稱為電子郵件網(wǎng)絡(luò)，由于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)對于研究病毒的傳播特性有很大的影響，所以，首先應(yīng)該考慮電子郵件網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，而復(fù)雜網(wǎng)絡(luò)理論研究的重點正是網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

復(fù)雜網(wǎng)絡(luò)的發(fā)展實際上始于圖論，Erdos和Renyi提出了隨機網(wǎng)絡(luò)模型。1998年6月， Watts和Strogatz引入了一種稱為WS小世界網(wǎng)絡(luò)的模型，網(wǎng)絡(luò)中節(jié)點的度分布近似可以看作服從Poisson分布，而大量研究結(jié)果顯示大部分真實網(wǎng)絡(luò)的度分布服從冪律分布。1999年10月，Barabasi教授及其博士生Albert發(fā)表論文揭示了真實網(wǎng)絡(luò)的無標(biāo)度特性，建立了無標(biāo)度網(wǎng)絡(luò)模型[2]。

以gmail郵箱為例，一般用戶的地址簿都較小，網(wǎng)絡(luò)中大部分是這些小地址簿用戶；而對于企業(yè)用戶，如gmail的系統(tǒng)管理員，地址簿能達(dá)到幾萬甚至幾十萬，若這類用戶感染了病毒，病毒副本會以巨大的數(shù)目傳播出去，與普通用戶相比，這類用戶對網(wǎng)絡(luò)的破壞性將是致命性的。這樣的用戶在網(wǎng)絡(luò)中的比例通常會很小。為反映這種分布不均勻特性對病毒傳播的影響，不妨定義電子郵件用戶的地址簿大小為該用戶（節(jié)點）的度，從而電子郵件用戶之間通過用戶地址簿會形成一個邏輯網(wǎng)絡(luò)。因為根據(jù)近年來的研究，電子郵件網(wǎng)絡(luò)服從冪率分布，具有無標(biāo)度網(wǎng)絡(luò)的性質(zhì)。基于此，利用Barabási和Albert提出的算法來構(gòu)造無標(biāo)度網(wǎng)絡(luò)模型來模擬電子郵件網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)[3]。

2 電子郵件病毒的傳播模型

在Internet上，當(dāng)郵件用戶感染某個電子郵件病毒后，該病毒會以附件的形式將其發(fā)送給用戶地址薄中的所有用戶，若這些鄰居用戶接收到電子郵件病毒附件并激活它，這些用戶將迅速成為中毒狀態(tài)，如此下去，電子郵件病毒就會在整個網(wǎng)絡(luò)中蔓延開來。通常在惡性電子郵件病毒爆發(fā)的早期，與之相應(yīng)的殺毒技術(shù)不會很快出現(xiàn)，即用戶沒有殺毒技術(shù)支持，不能讓計算機具有免疫功能。

假設(shè)電子郵件網(wǎng)絡(luò)中的節(jié)點只存在中毒和健康兩種狀態(tài)，同時因為反病毒技術(shù)的嚴(yán)重滯后性，假設(shè)處于中毒狀態(tài)的節(jié)點將永遠(yuǎn)保持中毒狀態(tài)。只要中毒狀態(tài)的電子郵件主機處于聯(lián)網(wǎng)狀態(tài)，該主機就存在傳播病毒的可能性，并且存在著隱蔽性，為了簡化模型，假定處于中毒的節(jié)點在某時刻往其鄰居發(fā)送帶毒郵件的概率為[p0]，其為病毒傳播概率。

當(dāng)健康用戶收到帶毒郵件后，其打開附件染毒的概率為[pi]，其具體值與用戶的安全意識和病毒設(shè)計的蒙蔽性有關(guān)。根據(jù)文獻(xiàn)[4]分析，電子郵件網(wǎng)絡(luò)中所有節(jié)點打開附件的概率是與隨機變量X相關(guān)，[X～Nμp，σ2p]，同時，研究表明，同一用戶打開所有附件的概率是恒定的。可事實上，如果用戶第一次收到帶毒郵件卻沒有染毒，那么該用戶第二次收到類似的郵件時，其被染毒的概率一定比第一次要小。因此，認(rèn)為用戶打開帶毒郵件的概率不是恒定不變而是逐漸減小的，而且其減小的幅度與其初始概率相關(guān)。初始概率越大，其警惕性越低，則越容易被染毒，其減少幅度越小；初始概率越小，其警惕性越高，則越不容易被感染，減少幅度越大。可以用下面的公式表示初始概率[p0]和減小幅度[di]的關(guān)系：

[di=1p0+δ]

式中：[δ]為用戶警惕性因子，它表示在電子郵件網(wǎng)絡(luò)中用戶對病毒的警惕性程度，即安全意識水平。同時，[1p0]表示打開概率和減少幅度之間呈反比關(guān)系，也就是打開概率越大，說明警惕性差，自然減少程度就低，為反比關(guān)系。用戶打開帶毒郵件的概率會隨著接收類似郵件次數(shù)的增加而減少。可以認(rèn)為，每次都在上次基礎(chǔ)上減少[di]，由此，可以得到健康用戶第k次收到帶毒郵件時，打開帶毒郵件的概率為：

[pk=p01-dik-1， k=0，1，2，3，…]

式中[p0]為初始概率。

3 電子郵件病毒傳播的仿真

3.1 病毒感染速率[s]對病毒傳播的影響

在前一節(jié)中，可以分析得到，健康用戶打開惡意郵件中附件的概率將影響到病毒的傳播，同時，中毒用戶單位時間內(nèi)發(fā)出的帶毒郵件的數(shù)目t也將影響到病毒的傳播速度。在此，可以定義病毒感染速率s的公式如下：

[si=pi×t]

初始[p0]的確定由文獻(xiàn)中分析得到了，即與隨機變量[X]相關(guān)，具體使用[X～N（0.5，0.32）]產(chǎn)生的隨機變量，當(dāng)[X]<0時，[X]取值為0；[X>1]時，[X]取值為1。用戶的警惕性因子[δ]取30，因為用戶一般具有稍強的安全意識。[T]的取值要考慮兩方面的因素，一方面取決于用戶的地址簿里的地址數(shù)量，第二方面要考慮到當(dāng)前網(wǎng)絡(luò)的速度，綜合考慮這兩方面的因素，經(jīng)過研究發(fā)現(xiàn)，一般用戶地址簿常用的聯(lián)系人在10～100之間，而郵件的發(fā)送速度考慮到攜帶附件和網(wǎng)絡(luò)擁堵可以取平均值為1封/min。最終，確定取[t]為均值20。

初始化網(wǎng)絡(luò)， 首先建立BA無標(biāo)度網(wǎng)絡(luò)模型，設(shè)置初始的孤立點為10，模擬一般局域網(wǎng)辦公環(huán)境的機器數(shù)量且便于計算，接下來加入新的節(jié)點，每加入一個節(jié)點即引入10條邊，[t]=9 990，由于電子郵件網(wǎng)絡(luò)是一個大規(guī)模網(wǎng)絡(luò)，因為最終建立的網(wǎng)絡(luò)中會達(dá)到[N]=10 000個節(jié)點，這樣會使得仿真更接近實際情況。

仿真電子郵件病毒的傳播，假定最初的10個節(jié)點都為中毒主機，取不同的[p0]，利用打開帶毒郵件概率的迭代公式，對每一個[p0]仿真20次并取其平均值，可以得到如圖1所示的結(jié)果，從圖1中可以看出，[p0]越大，病毒的傳播速度越快，當(dāng)[p0]=0.1時，病毒傳播的速度基本上已經(jīng)是直線上升。特別是網(wǎng)絡(luò)中只有約70%的主機被感染，這主要是由于[p0]是由隨即變量[X～N（0.5，0.32）]所產(chǎn)生，而且考慮到[p0]是隨著用戶接收到帶毒郵件的次數(shù)而變小，因此網(wǎng)絡(luò)中的節(jié)點不會全部被感染。同時，由于屬于發(fā)散時傳播，在大約5 min里，網(wǎng)絡(luò)中的70%主機將會被感染，完成傳播過程。

可以看出，電子郵件病毒傳播非常的快，造成危害非常大，一旦開始傳播，想要控制必須要第一時間及時地截斷其傳播的途徑。

病毒感染速率對病毒傳播的影響

3.2 用戶警惕性因子[δ]對病毒傳播的影響

用戶警惕性因子[δ]表示健康用戶在每接收到一次染毒郵件后，其[pk]至少要減少[δ]個百分點。 所以，實際上，[δ]表示了電子郵件網(wǎng)絡(luò)中用戶安全意識的平均水平，顯然，[δ]越大，網(wǎng)絡(luò)中的該健康主機的安全意識越高，傳播病毒造成的影響越小。選擇不同的[δ]值，對每個[δ]進行20次仿真試驗，再求得平均值，

[δ]對病毒傳播的影響

從實驗結(jié)果可以看出，用戶安全意識的增加對于減少病毒的感染范圍有很明顯的作用，但是，必須看到，增大用戶警惕性因子[δ]對病毒的傳播速度影響并不大，當(dāng)[δ]取不同值時，病毒完成傳播的時間基本上是一致的，可以說沒有差別。這也就是為什么目前電子郵件用戶的安全意識比網(wǎng)絡(luò)初期有明顯提高，各種警惕性提示也日益全面和增加，而電子郵件病毒的傳播依然如此快速。可見，電子郵件病毒的傳播控制，想要單一通過提高用戶警惕性是不夠的，還要采用其他的防毒措施來減少和減緩病毒的傳播，最終達(dá)到控制電子郵件病毒傳播的目的。

3.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對電子郵件病毒傳播的影響

為了研究影響電子郵件病毒傳播的因素，上述的仿真實驗都是在無標(biāo)度網(wǎng)絡(luò)模型下進行的，實際電子郵件網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)應(yīng)該是更加復(fù)雜和多元化的，因此，在ER隨即圖、小世界網(wǎng)絡(luò)、無標(biāo)度網(wǎng)絡(luò)這三種結(jié)構(gòu)中分別研究電子郵件病毒的傳播情況。

假使這三個網(wǎng)絡(luò)都按照10 000個節(jié)點來構(gòu)造，而網(wǎng)絡(luò)中的平均度6，在這三種拓?fù)浣Y(jié)構(gòu)下分別進行20次仿真取平均值， 拓?fù)浣Y(jié)構(gòu)對病毒傳播的影響

中可以看出，電子郵件病毒的傳播速度在無標(biāo)度網(wǎng)絡(luò)模型中比其他兩種網(wǎng)絡(luò)的傳播速度明顯要快。該現(xiàn)象與Pastor等人基于傳統(tǒng)的SIS病毒傳播模型進行的對比研究的結(jié)果相符，也就是無標(biāo)度網(wǎng)絡(luò)更易于傳播病毒[5]。分析其原因，主要是因為無標(biāo)度網(wǎng)絡(luò)中節(jié)點度分布的不均勻，少量節(jié)點的度非常大，導(dǎo)致其具有很強的隨機故障的魯棒性，同時具有很差的惡意攻擊的魯棒性。通過觀察具體的仿真過程，可以發(fā)現(xiàn)：

（1）電子郵件病毒在傳播過程中會首先感染節(jié)點度大的節(jié)點。因為這類節(jié)點具有更多的連接，被病毒感染的機會更大。

（2）節(jié)點度大的節(jié)點在染毒后會成為病毒的重要傳播源，加快病毒傳播的進程。同樣是因為該類節(jié)點具有更多的連接，傳播速度更快。

4 電子郵件病毒的監(jiān)控與防御

電子郵件病毒傳播速度如此迅速，破壞范圍如此之廣，因為實際上各大殺毒軟件公司都在其產(chǎn)品中加入了對電子郵件安全的支持。在上一節(jié)研究電子郵件病毒傳播影響因素的基礎(chǔ)上，可以認(rèn)為，首先病毒傳播速度非常的快，采用延遲處理的方式可以減緩其傳播速度，這種方式配合及時更新電子郵件軟件的病毒庫，可以起到一定的效果[6]。

另外，由于用戶自身的安全意識對電子郵件病毒傳播速度影響很小，因此不能把電子郵件病毒的防御依賴于對用戶的安全意識普及，但是可以想到，鑒于其對電子郵件病毒傳播范圍的影響，如果當(dāng)電子郵件網(wǎng)絡(luò)中的所有用戶都具有了很強的警惕性，電子郵件病毒的傳播范圍勢必會大大縮小，危害也會降到很低，所以，還是需要通過各類各種途徑來進行電子郵件安全使用方法的強調(diào)，同時，由于電子郵件病毒依靠附件傳遞的這種鮮明特征，也使得其安全普及變得相對容易，其就是注意不要打開來歷不明的電子郵件附件。

在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的影響分析中，觀察看了網(wǎng)絡(luò)中度較大的節(jié)點在病毒的傳播過程中起著非常重要的作用，這種重要性隨著其度值的增大而增大，因此，對電子郵件病毒的監(jiān)控與防御應(yīng)該主要針對這些具有較大度的節(jié)點進行。

對于這些具有較大度的節(jié)點，按照其值由大到小進行如下的監(jiān)控和安全防預(yù)措施：安裝優(yōu)秀的電子郵件殺毒軟件，延緩該節(jié)點郵件的發(fā)出，給病毒庫的更新提供一個緩沖時間，并第一時間更新病毒庫，對節(jié)點收到的每一封信件進行查毒，積極的監(jiān)控該節(jié)點，當(dāng)發(fā)現(xiàn)染毒郵件，立即進行刪除，阻止其進一步傳播，由于度值大的節(jié)點的關(guān)鍵性作用，可以對病毒的控制起到很好的作用，同時，對該病毒的特征進行病毒庫的更新上傳，增加其他關(guān)鍵節(jié)點發(fā)現(xiàn)以及阻止該類電子郵件病毒傳播的可能，或是使得其盡快發(fā)現(xiàn)其染毒的狀態(tài)，進行相應(yīng)的處理，從而最大程度地阻斷或是減緩病毒的傳播。若監(jiān)控發(fā)節(jié)點已經(jīng)染毒，需要立即強制其離線，這樣就切斷了病毒的重要感染源，能夠在病毒傳播的早期遏制病毒，保護了網(wǎng)絡(luò)中的大部分節(jié)點。

5 結(jié) 論

由于電子郵件的廣泛使用以及電子郵件病毒不需要搜索目標(biāo)主機就可以進行傳播，給傳統(tǒng)的其他計算機病毒相比，它的傳播速度更快，危害也更大。因此對電子郵件病毒的監(jiān)控和防御顯得愈發(fā)重要。

本文首先分析了電子郵件病毒的特點，概述了電子郵件病毒的研究現(xiàn)狀和背景。提出利用復(fù)雜網(wǎng)絡(luò)中的無標(biāo)度網(wǎng)絡(luò)來模擬電子郵件網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并在前人研究的基礎(chǔ)上建立了電子郵件病毒的傳播模型。接下來進行了模型的仿真，并分別進行實驗，研究了病毒感染速率、用戶警惕性因子以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對電子郵件病毒的影響。得到了無標(biāo)度網(wǎng)絡(luò)更易于電子郵件病毒傳播的結(jié)論，同時，用戶對于電子郵件病毒的警惕性增加只能減少其病毒感染范圍，但是不能減緩病毒的傳播速度。

由于無標(biāo)度網(wǎng)絡(luò)的傳播特性，本文提出了監(jiān)控和防御電子郵件病毒的思路和方法，利用無標(biāo)度網(wǎng)絡(luò)中具有較大度的節(jié)點在電子郵件病毒傳播過程中的關(guān)鍵性作用，針對這類節(jié)點進行相關(guān)的防御和安全部署。該方法目前還處于方案提出階段，在具體實際應(yīng)用中還是需要進一步具體和細(xì)化，在實踐中驗證其效果。

參考文獻(xiàn)

[1] 史明江.復(fù)雜網(wǎng)絡(luò)中的病毒傳播研究[D].上海：上海交通大學(xué)，2007.

[2] 汪小帆，李翔，陳關(guān)榮，等.復(fù)雜網(wǎng)絡(luò)理論及其應(yīng)用[M].北京：清華大學(xué)出版社，2006.

[3] XIA Cheng?yi， LIU Zhong?xin， CHEN Zeng?qiang， et al. Epidemicspreading behavior in local?world evolving network [J]. Progress in Natural Science， 2008， 18（6）： 763?768.

[4] PASTOR?SATORRAS R， VESPIGNANI A. Epidemic spreading in scale?freenetworks [J]. Phys. Rev. Letters，2001， 86（14）： 3200?3203.

[5] KONDAKCI S. Epidemic state analysis of computers under malware attacks [J]. Simulation Modeling Practice and Theory， 2008，16（5）： 571?584.

[6] 周雅夫，馬力，董洛兵.基于SMW理論提取復(fù)合關(guān)鍵字系統(tǒng)的設(shè)計與實現(xiàn)[J].西安郵電學(xué)院學(xué)報，2007（5）：82?85.